1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

htaccess - Sicherheitstipps

Dieses Thema im Forum "Konfiguration" wurde erstellt von Minijaki, 3. Mai 2017.

Schlagworte:
  1. Minijaki

    Minijaki Member

    Registriert seit:
    15. April 2017
    Beiträge:
    15
    Zustimmungen:
    0
    Hallo,

    zurzeit sichere ich meinen Blog mit diverse Methoden via htaccess ab und befolge brav die Tipps, die Wordpress Codes mir erklären möchte bzw. hinterfrage und google auch nach dem einen oder anderen Dinge.

    Allerdings scheinen ganz viele "Wordpress-Security-Blogger" viele Tipps in ihre "Diese 8 Htaccess-Regeln müsst ihr befolgen"-Liste ohne die Tipps/Regeln zu hinterfragen aufzunehmen oder auf Fragen von anderen Kommentatoren einzugehen, wenn es mal expliziter/technischer geht. Das sehe ich bei sowohl deutsche, als auch viele englische Blogger in dem Fall.

    Darum wende ich mich an euch mit meinen Fragen.

    1.)
    In diversen Portalen und Blogs wird empfohlen, die PHP-Ausführung in dem Upload- und Include-Ordner zu verhindern. Wie der Code dazu ist, kenne ich. Aber folgende Fragen stellen mir da auf:
    - Beeinträchtigt der Code im htaccess das Updaten oder Installieren neuer Plugins in den Ordner?
    - Was ist, wenn die Dateiendung "PHP" plötzlich nicht PHP, sondern PhP, oder phP heißt?
    - Macht das Blockieren von perl-Scripten ebenso Sinn?
    - Ist ein white-listing für bestimmte Dateiformate die bessere Lösung als ein Blacklisting von ein, zwei Dateien?
    -- Bzgl. White-Listing: Mit welche Methoden finde ich selbstständig heraus, welche Dateiformate ich zulassen muss?
    - Optional: Wie sieht euer htaccess-Datei aus?

    2.)
    Ein paar Fragen bzgl. der Login-URL von Wordpress:
    - Macht ein htpassword mehr Sinn als das umbenennen der Login-URL zu Wordpress?
    - Ist eine Kombination mit dem umbenennen der Login-URL und das erstellen eines htpassword Vorteilhaft?


    Sollten noch weitere Fragen auftauchen, werde ich diese hier stellen. Ich hoffe es bereitet euch keine Unannehmlichkeiten.
     
  2. Minijaki

    Minijaki Member

    Registriert seit:
    15. April 2017
    Beiträge:
    15
    Zustimmungen:
    0
    Es sollte "Wordpress Codex" heißen. Leider kann ich den Beitrag gar nicht bearbeiten. :(
     
  3. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Kennst du den Code oder hat dir ein Plugin deine .htaccess nur entsprechend geändert und du nimmst jetzt an, dass du den code kennst? Und warum sollte das Ausführen von PHP Code im include Ordner verhindert werden? Du meisnt im include Verzeichnis sicherlich jetzt jetwas anderes...

    du zeigst deinen Code nicht - sagst nichts über deine webServer und deine PHP version und wir sollen diese Frage beantworten?

    Plugins liegen in dem Verzeichnis
    ~/wp-content/plugins/

    wenn diese Plugins PHP Code in dem Upload Verzeichnis benötigen, würde ich das Plugin löschen...

    falsche Frage :)

    was ist wenn der Anfreifer seinen Schadecode als Image tarnt. boeses-php-script.php.jpg oder boeses-php-script.jpg.php

    dein toller WebServer sollte bei richtiger Konfiguration das PHP Script nicht ausführen - sollte er es ausführen - provider wechslen :)

    einfach testen

    <?php
    phpinfo();

    absoeichern und im uplaod Verzeichnis ausprobieren.

    wenn man Perl in dem upload Verzeichnis ausführen kann - würde ich ja sagen.

    Rembrand

    und was bringt dir dies jetzt?
    https://github.com/r23/MyOOS/blob/master/blog/wordpress/.htaccess


    die Login-URL ist ja nicht unbedingt das Problem sondern die Erreichbarkeit vom Admin-Bereich. Das Admin Verzeichnis würde ich immer Server-Seitig schützen und nicht mit wilden PHP Scripten

    klar doch - ich würde mir auch keinen Dienstelister suchen, der mir WordPress richtig installert - sondern mir irgendetwas zusammen suchen.
     
  4. Minijaki

    Minijaki Member

    Registriert seit:
    15. April 2017
    Beiträge:
    15
    Zustimmungen:
    0
    Hallöle!

    Der Code, welches allgemein geraten wird, und sowohl im "/wp-includes" als auch im "/wp-content/uploads" hochgeladen werden sollte, lautet wie folgt:

    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Das hat die Frage bzgl. PHP Code im Upload-Verzeichnis und Ausführbarkeit gut beantwortet!

    Vielen Dank! Das ist interessant und ich werde mal meinen Provider fragen!

    Okay! Ich werde mich informieren!


    Unter diesen Stichwort konnte ich auf Google leider nichts finden. :(

    Danke. In der Hinsicht wollte ich nach Erfahrung bitten.

    Wordpress ist optimal installiert und eingerichtet. Es stellt sich lediglich nach den optionalen Dinge, die auch sicherheits relevant ist. Ich möchte kein Code einfach so rein-"pasten", ohne dass ich weiß, was es tut, warum es wichtig ist, diese rein zu tun. Wird es mir doch zu technisch, erbitte ich einen Dienstleister um Hilfe.
     
  5. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    lol - mach dies mal bei einem alten Apache :)

    Bei Apache Versionen vor 2.3 verhindert man damit wirklich die Ausführung von PHP Scripten :) auch in wp-includes...

    Eine aktuelle Apache Version ignoriert dies.


    lol - Provider fragen, ob er einen WebServer konfigurieren kann bringt sicherlich viel. man prüft dies selber. Wie habe ich bereits erklärt.

    Man erstellt ein PHP script.

    <?php
    phpinfo();


    http://php.net/manual/de/function.phpinfo.php

    Speichert dieses als

    mein.php.jpg

    ab legt es auf den Server und schaut

    ob das Script für den WebServer ausführbar:

    https://example.org/wp-content/uploads/mein.php.jpg

    oder was macht der Server mit dieser Datei!

    Und wenn der Server die Koniguration von PHP erklärt sucht man sich einen neuen Provider.

    man erstellt ein Perl Script und führt dieses aus...

    lol
     
  6. Minijaki

    Minijaki Member

    Registriert seit:
    15. April 2017
    Beiträge:
    15
    Zustimmungen:
    0
    Vielen Dank.

    Den Test habe ich ausprobiert, allerdings bekam ich bei beidem Datei-Endungen lediglich einen 404-Fehler.

    Wieso ist das witzig? Ich möchte mich damit auseinander setzen.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden